1、1 印月969月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 03.080.99; 35.020 X6053-220000-2經濟部標準檢驗局印 公布日期 修訂公布日期 969月14日 月日 (共35頁)資訊技術服務管理 第 2 部:作業規範 Information technology Service management Part 2: Code of practice 目錄 節次 頁次 1.適用範圍 4 2.用語釋義 5 3.管理系統 5 3.1 管理職責 5 3.2 文件化要求 5 3.3 能力、認知與訓練 6 3.3.1 概要 6 3.3.2 專業之發展 6
2、 3.3.3 要考量之作法 6 4. 服務管理規劃與實作 . 7 4.1 規劃服務管理 (規劃 ) 7 4.1.1 服務管理範圍 7 4.1.2 規劃作法 . 7 4.1.3 要考量之事件 7 4.1.4 計畫之範圍與內容 . 8 4.2 實作服務管理與提供服務 (執行 ) 8 4.3 監視、量測與審查 (檢查 ). 8 4.4 持續改善 (行動 ) 8 4.4.1 政策 9 4.4.2 服務改善規劃 9 5. 新增或變更服務之規劃與實作 . 9 5.1 考慮的主題 9 5.2 變更紀錄 9 6. 服務交付過程 10 6.1 服務等級管理 10 6.1.1 服務目錄 10 6.1.2 服務等級
3、協議 (SLA).10 6.1.3 服務等級管理 (SLM)過程 .11 6.1.4 支援性服務協議 11 2 CNS 20000-2, X 6053-2 6.2 服務報告 .11 6.2.1 政策 .12 6.2.2 服務報告之目的與品質核對 .12 6.2.3 服務報告 12 6.3 服務持續性與可用性管理 .12 6.3.1 概要 .12 6.3.2 可用性監視與活動 .13 6.3.3 服務持續性策略 13 6.3.4 服務持續性規劃與測試 13 6.4 IT 服務預算編列與結算 14 6.4.1 概要 .14 6.4.2 政策 .14 6.4.3 預算編列 15 6.4.4 結算 .
4、15 6.5 容量管理 .15 6.6 資訊安全管理 15 6.6.1 概要 .15 6.6.2 資訊資產的識別與分類 15 6.6.3 安全性風險的評鑑常規 16 6.6.4 資訊資產的風險 16 6.6.5 資訊的安全性與可用性 16 6.6.6 控制事項 16 6.6.7 文件與紀錄 .17 7. 關係過程 .17 7.1 概要 17 7.2 營運關係管理 18 7.2.1 服務審查 18 7.2.2 服務訴怨 18 7.2.3 客戶滿意度量測 18 7.3 供應者管理 .19 7.3.1 簡介 .19 7.3.2 契約管理 19 7.3.3 服務定義 19 7.3.4 管理多個供應者
5、19 7.3.5 契約爭議管理 .19 7.3.6 契約終止 20 8. 解決過程 .20 8.1 背景 20 3 CNS 20000-2, X 6053-2 8.1.1 設定優先次序 .20 8.1.2 磋商解決 20 8.2 事故管理 .20 8.2.1 概要 .20 8.2.2 重大事故 21 8.3 問題管理 .21 8.3.1 問題管理範圍 .21 8.3.2 問題管理的起始 21 8.3.3 已知錯誤 22 8.3.4 問題解決 22 8.3.5 溝通 .22 8.3.6 追蹤與向上反映 22 8.3.7 事故與問題紀錄之結案 22 8.3.8 問題審查 22 8.3.9 審查主題
6、 23 8.3.10 問題防範 23 9. 控制過程 .23 9.1 組態管理 .23 9.1.1 組態管理規劃與實作 .23 9.1.2 組態識別 24 9.1.3 組態控制 25 9.1.4 組態狀態結算與報告 .25 9.1.5 組織查證與稽核 26 9.2 變更管理 .26 9.2.1 規劃與實作 .26 9.2.2 變更要求之結案與審查 27 9.2.3 緊急變更 27 9.2.4 變更管理報告、分析、與行動 .27 10. 發行過程 27 10.1 發行管理過程 27 10.1.1 概要 .27 10.1.2 發行政策 28 10.1.3 發行與推出規劃 28 10.1.4 發展與
7、獲取軟體 28 10.1.5 設計、建置與組態發行項目 .29 10.1.6 發行查證與驗收 29 10.1.7 文件化 .29 10.1.8 推出、分發與安裝 30 4 CNS 20000-2, X 6053-2 10.1.9 發行與推出後期 30 參考文獻 .31 英中名詞對照表 32 1. 適用範圍 本標準適用於代表對 IT 服務管理過程品質標準之業界共識。這些服務管理過程,於協議之資源等級內,交付最佳的可能服務,以滿足客戶之營運需要,亦即服務是專業的、具有成本效益且含有已被理解且受到管理的風險。 相同過程,以及過程與功能小組 (以及職銜 )間所使用之術語的多樣 性,會讓新進經理人服務管
8、理之主題造成混淆。對於用語的不了解可能會是建立有效過程上的障礙。理解用語是自本標準可得到的實質而重要的益處。本標準建議服務提供者在服務管理上,宜採取通用術語及一致性的作法。它提供了服務改善上的共同基礎,也提供了服務管理工具供應者所使用的框架。 做為一個基於過程之標準,本作業規範並非為產品評鑑而設計。然而,發展服務管理工具、產品及系統的組織,可能會使用規格及作業規範兩者,以協助其發展支援最佳實務服務管理的工具、產品及系統。 本標準對稽核員提供指導,並且對服務提供者提供規劃服務改善或將按照本系列標準第 1 部被稽核的服務提供者提供協助。 本系列標準第 1 部規定了許多如圖 1 所示的相關服務管理過
9、程。 圖 1 服務管理過程 備註:作為作業規範,本標準以指引與建議的形式呈現。它不宜被當成規格一樣引用,且宜特別注意,以確保遵循的宣告不會誤導。 本標準宜與本系列標準第 1 部,與本作業規範相關的規格結合使用。 本標準假設條文 是委由經適當檢定且具有能力的人員執行的。國家標準並宣稱涵蓋契約的所有必要條款。國家標準並無納入契約所有必要條文的意圖;使用者負有本標準正確應用之責。 對國家標準的遵循,本身並未被授予免除法定義務之權力。 事故營運結算資訊安全管服務等級管5 CNS 20000-2, X 6053-2 本標準在描述本系列標準第 1 部範圍內,服務管理過程的最佳實務。 服務交付在客戶先進設施
10、 (在最低的成本下 )的漸增要求,以符合其營運需要下,變得愈來愈重要。這也讓我們認知到服務與管理管理對協助組織產生收益,以及具有成本效益非常重要。 本系列標準第 1 部是服務管理的規格,宜與本標準一起閱讀。 本系列標準要讓服務提供者瞭解到要如何強化交付給客戶,含內部與外部客戶之服務的品質。 隨著支援服務之漸增相依關係與可用技術範圍之多樣性,服務提供者要費盡心思以使客戶服務維持在高位準。以反應式的方式工作,服務提供者花費太少的時間在規劃、訓練、審查、調查、以及和客戶一同工作,其結果是,無法 採用結構化、主動式的工作實務。 前述之服務提供者,正被要求要改進其品質、降低成本、有更大的彈性、更快速地對
11、客戶做出反應。有效的服務管理交付出高位準之客戶服務與客戶滿意度。 本系標準區分出各過程之最佳實務間之差,其與組織形式或規模以及組織的名稱與結構無關。本標準系同時可以應用在大型及小型之服務提供者,最佳實務服務管過程的需求,會因組織形式而做改變,組織形式提供過程於其中被依循之管框架。 2. 用語釋義 本標準之目的,適用本系列標準第 1 部之用語釋義。 3. 管理系統 目標:提供管理系統包含致能所有 IT 服務之有效管理與實作之框架。 3.1 管理職責 確保最佳實務過程被採用及持續的 管理者角色,乃是所有要滿足本系列標準第1 部要求服務提供者之根本。 為確保承諾,管理階層宜被識別為 服務管理計畫的負
12、責人。管理階層宜負整個服務管理計畫之責任。 管理階層之角色,宜包含為持續性或專案性服務改善活動投入資源。 管理階層 宜由具有充分之政策定義與決策強化之權責之決策小組來支援。 3.2 文件化要求 管理階層宜確保證據能由服務管理 政策、計畫與程序以及與前述事項有關之所有活動的稽核所用。 許多服務管理規劃與營運的證據, 宜以任何型式的文件或所有適合於其目的的媒體型式存在。 以下的文件,通常被認為適合作為服務管理規劃的證據。 (1) 政策與計畫。 (2) 服務文件。 (3) 程序。 (4) 過程。 6 CNS 20000-2, X 6053-2 (5) 過程控制紀錄。 宜有文件產製與管理的過程,以協助
13、確保所描述的特性被滿足。 文件宜受到保護,免於因為例如較差的環境條件及電腦災難而造成的損害。 3.3 能力、認知與訓練 3.3.1 概要 服務管理範圍內履行工作的人員 ,宜在適當之教育、訓練、技能及經驗的基礎上,使之能夠勝任其工作。 服務提供者宜 (1) 判斷服務管理中,每個角色之必要能力。 (2) 確保人員認知到在更為廣闊的營運全景中,其活動的相關性與重要性,以及其如何為品質目標之達成做出貢獻。 (3) 保存教育、訓練、技能及經驗之適切紀錄。 (4) 提供訓練或採取其他行動,以滿足這些需要。 (5) 評估所採取行動之有效性。 3.3.2 專業之發展 服務提供者宜發展及強化其工作 團隊的專業能
14、力。達成此一目標所做測量中,服務提供宜說明下列事項 (1) 招募新人:說明查核工作申請人細節 (包含其專業資格 )之有效性以及根據工作說明書 /組合、服務管理標的及整體服務品質目標,識別申請人之強點、弱點及潛力等目標。 (2) 規劃:說明新生或擴充之服務 (還有外包服務 )的用人、使用新技術、將服務管理人員指派給發展專案團隊、後續規劃及填補因為預期人員離職所造成的其他落差之目標。 (3) 訓練與發展:說明識別訓練與發展要求,以作為訓練及發展計畫以及提供即時及有效的交付等目標。 人員宜就服務管理的 相關層面 (例如,經由訓練課程、自我學習、講授以及在職訓練 )施予訓練 ,其團隊合作及領導技能宜予
15、以發展。宜為每個個人,保存定期訓練紀錄,並附帶說明所受訓練的內容。 3.3.3 要考量的作法 為使各人力分組達到適當的能力 等級,服務提供者宜就短期及經常性招募的最佳組合做成決定。服務提供 者亦宜就具有必要技能之新人與對現有人員重新施訓的最佳組合做成決定。 備考:短期與經常性招募的最佳 平衡,在服務提供者規劃如何於支援人員的數量及技能作重大變更期間及之後提供服務時,特別重要。 在建立作法之最適組合時宜考量的因素包括 (1) 新生或經變更之能力的短期或長期性質。 (2) 在技能與能力上的變更率。 (3) 基於服務管理與服務改善規劃上,預期工作負荷的尖峰與谷底及必要之7 CNS 20000-2,
16、X 6053-2 技能組合。 (4) 適合之具備能力人員的可用性。 (5) 人員離職率。 (6) 訓練計畫。 對於所有的人員,服務提供者宜 至少每年審查每個個人的績效一次,並採取適當的行動。 4. 服務管理規劃與實作 4.1 規劃服務管理 (規劃 ) 目標:規劃服務管理的實作與交付。 4.1.1 服務管理範圍 服務管理的範圍宜在服務管理計畫中定義。 例如,可由下列項目來定義 (1) 組織。 (2) 地點。 (3) 服務。 管理階層宜在其管理職責中定義範圍 (並成為服務管理計畫的一部分 )。範圍宜在本系列標準第 1 部之下,檢查其適合性。 備考:運作變更的規劃,於第 9.2 節中描述。 4.1.
17、2 規劃作法 多重服務管理計畫可 用以取代一大型計畫 (a large plan) 或計畫(programme)。在這種情況下,其底層的服務 管理過程宜相互一致。要展示每項規劃要求如何藉由連結至相應之角色、職責與程序來管理亦屬可能。 服務管理規劃宜形成過程之一部 分,以將客戶之要求及管理階層的意圖轉變為服務,並且提供指導進度的路徑圖 (route map)。 服務管理計畫宜包含 (1) 服務管理 (或部分服務管理 )之實作。 (2) 服務管理過程之交付。 (3) 對服務管理過程之變更。 (4) 對服務管理過程之改善。 (5) 新增服務 (達到影響協議服務管理範圍內之過程 )。 4.1.3 要考
18、量之事件 服務管理計畫宜滿足服務管理過程及以事件觸發之服務變更,這些事件例如 (1) 服務改善。 (2) 服務變更。 (3) 基礎建設標準化。 (4) 對法令之變更。 (5) 規定之變更,例如,地方稅率的調整。 (6) 工業的解除控制或控制。 8 CNS 20000-2, X 6053-2 (7) 合併及獲取。 4.1.4 計畫之範圍與內容 服務管理計畫宜定義 (1) 服務提供者之服務管理範圍。 (2) 將由服務管理所達成之目標及要求。 (3) 達成已定義目標所需要的資源、設施及預算。 (4) 管理角色與職責的框架,包括資深責任擁有者、過程擁有者及供應者的管理。 (5) 服務管理過程與將用以協
19、調活動及 /或過程之方式間的介面。 (6) 在議題的識別、評價、及管理上將採取之作法以及達成已定義目標之風險。 (7) 以資金、技能、及資源將可用之日期所表達之資源時程。 (8) 對計畫及計畫所定義之服務變更之作法。 (9) 服務提供者將如何展示持續性的品質控制 (例如,期中稽核 )。 (10) 將執行之過程。 (11) 適於支援過程之工具。 4.2 實作服務管理與提供服務 (執行 ) 目標:實作服務管理目標與計畫。 如果原來之服務並未符合本系列標準第 1 部中所勾勒之實作要求,則獲得能符合本系列標準要求的最佳常規服務管理過程,是無法達成的。 一旦實作後,服務及服務管理過程宜予以維護。 審查宜
20、根據第 4.3 節舉行。 備考:適合於規劃及初始實作之人員,可能不適合於後續之運作。 4.3 監視、量測與審查 (檢查 ) 目標:對達成中之服務管理目標及計畫實施監視、量測與審查。 服務提供者宜規劃及實作服務的監 視、測量、分析與審查、服務管理的過程及相關的系統。宜予以監視、量測、與審查之項目包括 (1) 已定義之服務標之達成。 (2) 客戶滿意度。 (3) 資源利用。 (4) 趨勢。 (5) 重大的不符合事項。 分析的結果宜提供輸入給改善服務之計畫。 除了在測量與分析上的服務管理活 動外,管理階層可能需要善用內部稽核及其他的查核。在決定了這類內部稽核與查核之頻率後,過程中所涉及的風險程度、其
21、運作頻率及其問題之過去歷史, 都是宜列入考慮的因子。內部稽核及查核宜予以規劃、適當地實踐並予以記錄。 4.4 持續改善 (行動 ) 9 CNS 20000-2, X 6053-2 目標:改善服務交付與管理之有效性與效率。 4.4.1 政策 服務提供者宜認知,使服務的交付更為有效益及有效率 的可能性總是存在。對於服務品質與改善宜有公布週知之政策。 所有參與服務管理及服務改善的 人員,宜察覺到服務品質政策,及其個人對於該政策所列示目標達成之貢獻。 特別是參與服務提供之所有服務 管理的人員,宜具備政策在服務管理過程上意含之詳細理解。 在服務提供者自身之管理結構中 、客戶與服務提供者之供應者在影響服務
22、品質與客戶要求之事務上,宜具備有效之聯絡。 4.4.2 服務改善規劃 服務提供者宜在服務改善上,從 自身及其客戶的觀點上,採用有條不紊、經過協調的作法,以滿足政策的要求。 在實作服務改善計畫之前,服務 品質與等級,宜當做基準予以記錄,實際的改善狀況將可據此做比較。實 際的改善,宜和預測之改善做比較以評量變更之有效性。 備考 1. 服務改善要求可來自所有過程。 服務提供者宜鼓勵其人員及客戶,建議服務改善方法。 2. 可以使用建議之方案、品質圈、使用者群組以及聯絡會議來執行。 服務改善標的宜可量測的、與營運目標相連結並且記載於計畫書中。 服務改善宜予主動管理,進度宜根據正式協議的目標予以監視。 5
23、. 新增或變更服務之規劃與實作 目標:為確保新的服務與服務的變更可在協議的成本與服務品質上交付與管理。 5.1 考慮的主題 新增或變更服務之規劃,宜納入下列各項審查 (1) 預算。 (2) 人員資源。 (3) 現有的服務等級。 (4)服務等級協議 (Service Level Agreement,SLA)及其他標的或服務的承諾。 (5) 現有之服務管理過程、程序及文件化。 (6) 服務管理之範圍,包括先前排除在範圍外服務管理過程之實作。 5.2 變更紀錄 所有服務變更,宜反映在變更管理紀錄中。 此項包括下列各項計畫 (1) 人員招募 /重新訓練。 (2) 重新配置。 (3) 使用者訓練。 (4
24、) 與變更有關之溝通。 10 CNS 20000-2, X 6053-2 (5) 對於支援技術本質之變更。 (6) 服務之正式結案。 6. 服務交付過程 6.1 服務等級管理 目標:定義、協議、記錄及管理服務之等級。 6.1.1 服務目錄 服務目錄宜定義出所有服務。其可參照 SLA 且宜使用來保存對 SLA 本身視為易變性的材料。 服務目錄宜予維護並保持在最新狀態。 備考:服務目錄可包括諸如下列各項之一般資訊 (1) 服務之名稱。 (2) 標的,例如反應時間或安裝印表機之時間、在重大失效之後重新提供服務時間。 (3) 聯絡點。 (4) 服務時間與例外事項。 (5) 安全性安排。 服務目錄是設定
25、客戶期望之關鍵 文件,且宜使其易於存取並對客戶及支援人員廣泛地可用。 6.1.2 服務等級協議 (SLA) 任何服務宜正式地記錄在服務等級協議 (SLA)當中。 SLA 宜予正式地由資深客戶及服務提供者代表所授權。 SLA 宜受變更管理,其所述之 服務的現況。 客戶的營運需要及預算,宜對 SLA 內容、結構、及標的具約束力。標的,宜據之以量測所交付的服務,宜從客戶之觀點來定義。 SLA 宜僅包括標的的適當子集,以將注意力集中在服務的重要構面上。 備考 1. 太多的標的,可能產生混淆,並且導致過度的管理費用。 SLA 最起碼的內容,或可以直接參照自 SLA 的內容為 (1) 服務之簡述。 (2)
26、 有效期限制及 /或 SLA 變更控制機制。 (3) 授權細節。 (4) 溝通的簡述;包含報告。 (5) 獲得授權之,以便於緊急時採取行動、參與事故與問題的矯正、復原、或迂迴處理人員之聯絡細節。 (6) 服務時間,例如:上午 9 時至下午 5 時,例外日期 (例如,週末、例假日 )、重要的營運時間以及非服務時間的處理。 (7) 已排定的與協議的中斷事項,包括要提出的通知、每期多少個。 (8) 客戶職責,例如,安全性。 (9) 服務提供者的責任與義務,例如安全性。 (10) 衝擊與優先次序的指導綱要。 11 CNS 20000-2, X 6053-2 (11) 向上反映及通知的過程。 (12)
27、訴怨程序。 (13) 服務標的。 (14) 工作負荷限制 (上限與下限 ),例如,支援商訂之使用者人數 /工作量之服務的能力、系統的產出率。 (15) 高層級財務管理細節,例如,收費代碼等。 (16) 在服務中斷事故中,將採取的行動。 (17) 庶務處理之程序。 (18) 用語的語彙表。 (19) 支援性與相關服務。 (20) SLA 中所訂定之條文的所有例外事項。 備考 2. 易變性資訊、或多數 SLA 共同資訊 (諸如聯絡細節 )可以在不衝擊到SLM 過程品質的狀況下參照,只要被參照到的文件也是在變更管理過程的控制下即可。 3. 持續性計畫及結算與預算編列的細節,通常是參照自 SLA。 4
28、. 用語語彙表通常置於同一處,共同用於所有文件,包括服務目錄。 6.1.3 服務等級管理 (SLM)過程 重大的營運變更,例如,由 於成長的關係,營運組織重整與合併、以及改變客戶的需求,可能要求服務等級 調整、重新定義、或甚至於暫時中止。 SLM過程宜具有彈性,以便適應這些變更。 SLM 過程宜確保這些服務提供者在整個服務交付的規劃、實作、及持續管理上持續地把焦點置於客戶身上。 服務提供者宜被給予充分的資訊以使之理解其客戶的營運驅動因素及要求。 SLM 過程宜對服務等級貢獻者管理與協調,以納入 (1) 含有服務需求及預期服務工作負荷特性的協議。 (2) 服務標的協議。 (3) 服務等級達成的量
29、測與報告、工作負荷以及協議之標的未能達成之理由陳述 (請參閱第 6.2 節 )。 (4) 矯正措施之啟始。 (5) 對服務改善計畫之輸入。 此過程宜鼓勵服務提供者與客戶 雙方,養成確保雙方對於服務具有聯合職責之主動態度。 雖然客戶滿意是服務等級管理的 一個重要部分,但是宜認知到客戶滿意是一項主觀測量,而 SLA 中的服務標的宜為客觀測量。 SLM 過程宜與營運關係及供應者管理過程緊密地一起運作。 6.1.4 支援性服務協議 交付之服務所憑恃的支援性服務 宜予以文件化,並與每一個供應者獲得協議。此包含提供部分服務提供者之服務的內部群組。 6.2 服務報告 12 CNS 20000-2, X 60
30、53-2 目標:為通知決策與有效溝通,產生獲得同意、即時、可靠、準確之報告。 備考:所有服務管理過程之成功,全仰仗服務報告所提供資訊運用。 6.2.1 政策 服務報告之要求,就客戶與內部管理需要,宜獲得同意並做成記錄。 服務監視與報告,包含服務所有 可量測之構面,提供目前最新及歷史性之分析。 在有多個供應者 (主供應者及下包供應者 )的狀況下,報告宜反映出供應者之間的關係。例如,某主供應 者宜就其提供之整個服務做報告,包括下包供應者提供的所有服務,下包供應者把這些服務當做客戶服務之一部分來管理。 6.2.2 服務報告之目的與品質核對 服務報告宜即時、清楚、可靠、而且簡明。 服務報告宜適於接受者
31、的需要,且有足夠之準確度作為決策支援工具使用。 呈現的方式宜能輔助報告的理解,使之易於吸收,例如圖表之使用。 宜產生數種型式之報告。 (1) 顯示已發生之事故的回應式報告。 (2) 主動式報告,該報告提供重大事故的先期警告,藉此可以事先採取預防措施 (例如, SLA 中即將發生之缺口的報告 )。 (3) 顯示規劃性活動之前置排程報告。 6.2.3 服務報告 服務提供者宜為客戶及管理階層產生涵蓋下列事項之報告。 (1) 相對於服務等級標的的績效,例如故障報告、達成之事項。 (2) 不符合標準之事項。 (3) 工作負荷特性及份量資訊,例如,事故問題、變更以及任務、分類、位置、客戶、季節性趨勢、優先
32、次序組合、求助數。 (4) 重大事故後的績效報告,例如變更及發行。 (5) 分期之趨勢資訊 (例如,日、週、月、期 )。 (6) 納入來自於各個過程之資訊的報告,例如事故及常問問題數、基礎建設中不可靠的組件、資源 /成本密集的任務。 (7) 為凸顯未來及預定之工作負荷報告。 6.3 服務持續性與可用性管理 目標:確保對客戶的協議之服務持 續性與可用性的承諾,在任何狀況下都能被滿足。 備考: 重大的服務失效或災難可能因為多種原因而發生,包括服務阻絕、攻擊、重大的病毒蔓延、對具有被允許之前提的項目進取存或是天災。 6.3.1 概要 服務持續性及可用性需求宜在客 戶之營運優先次序、服務等級協議及經評
33、鑑的風險等基礎上予以識別。服 務提供者宜保持充分的服務容量,以及為確保協議之需求,在從正常到服 務重大損失的所有狀況下,都能被滿足而13 CNS 20000-2, X 6053-2 設計的可用計畫。服務提供者宜 為已知的資料或使用者份量增或減、工作負荷預期的高峰或谷底以及其他 已知之未來變更做規劃。需求宜包括存取權限及回應時間以及系統組件之端對端可用性。 服務可用性及服務持續性管理宜 與確保協議之服務等級受到維護之目標一起運作。這些需求宜對行動、工 夫及配置來與支援這些需求之服務可用性相稱的資源具有重大影響。 為確保必要可用性受到維護的過 程,宜收納在客戶或其他服務提供者控制下之服務交付之元件
34、。 6.3.2 可用性監視與活動 可用性管理宜 (1) 監視及記錄服務之可用性。 (2) 保存準確的歷史資料。 (3) 比較 SLA 中所定義的需求,以識別不符合協議之可用性標的之事項。 (4) 記錄及審查不符合事項。 (5) 預測未來的可用性。 (6) 在可能的情況下,潛在議題宜予以預測並採取防範措施。 宜確保服務之所有組件的可用性,含列入記錄及採取行動的矯正措施。 6.3.3 服務持續性策略 服務提供者宜發展及維護服務持續性策,此策定義將採行以符合服務持續性義務的通用作法,此項工 作宜包括風險評鑑並且考量到協議的服務時間及關鍵營運期間。服務提供者對於每一個客戶群及服務,宜同意 (1) 損失
35、之服務的最大可接受持續期間。 (2) 品質降低之服務的最大可接受期間。 (3) 在服務復原期間,可接受之品質降低的服務等級。 持續性策略宜定期審查在協議,至少是每年一次。 所有針對策略的變更,宜正式地獲得同意。 6.3.4 服務持續性規劃與測試 服務提供者宜確保: (1) 持續性計畫已將服務與系統組件間的相依關係列入考量。 (2) 支援服務持續性所需要的服務持續性計畫及其他文件,已予以記錄及維護。 (3) 援引持續性計畫的職責已明確地指派,且計畫要明確地根據目標分配採取行動的職責。 (4) 服務復原需要之資料、文件及軟體的備援以及所有的裝備與人員,在重大的服務失效或災難後可快速地利用。 (5)
36、 所有的服務持續性文件至少要有一個副本,並和使其作用所需要之所有裝備,儲放及保存在位於遠處的安全處所。 (6) 人員了解其在援引及 /或執行其計畫時的角色;並且能夠存取到服務持續性文件。 14 CNS 20000-2, X 6053-2 服務持續性計畫及相關文件 (例如,契約 ),宜連結到變更管理過程及契約管理過程上。 服務持續性計畫及相關文件 (例如,契約 )宜在系統與服務變更被核准前,以及重大之客戶需求新增或修正獲得同意前,就衝擊予以評鑑。 宜定期進行測試,其執行頻率須 足以保證持續性計畫之有效並在對變更中之系統、過程、人員及營運需要 時,仍能維持這個作法。測試宜由客戶及服務提供者,基於一
37、組協議的目標共同參與。測試失敗, 宜予記錄及審查,以輸入服務改善計畫中。 6.4 IT 服務預算編列與結算 目標:為服務供應之成本編列預算及結算。 6.4.1 概要 本節涵蓋 IT 服務的預算編列與結算。在實務上,許多服務提供者都會涉及這類服務之收費。然而,因為收 費是一項選擇性的活動,故未並被涵蓋在本標準中。我們建議服務提供者 在使用收費活動時,進行的機制要全面定義,並被所有各方所理解。 許多財務決策職責是在服務管理領域範圍外,且將提供 之財務資訊的需求、包含以何種形式、在何種頻 率提供,可能都是外界要求的。本節中的條款,置焦點於為滿足標準之需 求,宜遵循的常規上。然而,更為廣泛的需求,要在
38、其會對某些政策及已 定義之程序產生衝擊時列入考量。所有使用到的結算實務,宜與服務提供者組織的整體更為廣泛之會計實務對位。 6.4.2 政策 在服務之財務管理上宜具備政策 。該政策宜定義將由預算編列及結算所滿足之目標。 基於下列考量事項,該政策亦宜定義履行預算編列及結算應達到的詳細程度。 (1) 記帳的成本型式。 (2) 管銷成本的分攤,例如統一收費率、固定百分率或基於變動元件的規模上。 (3) 客戶營運的精細程度,例如營運單位是自成一個單位、劃分為數個部門、或是以地點來劃分。 (4) 處理變動差異相對於之管理規則,例如要向上反映到最高管理階層的差異的規模。 (5) 與服務等級管理的連結。 預算
39、編列與結算過程上投資的等 級,宜基於客戶、服務提供者及供應者,在政策中所定義之財務細節上的需要。 備考: 於商業環境 運作之服務提供者,可能需要投資可觀的時間與工夫在其財務管理 上。相反的,對於只要簡單的成本識別就足夠的服務提供者來說,財務管理可能更加簡單。 不論財務管理上的政策為何,預算編列與結算宜由所有服務提供者履行。 15 CNS 20000-2, X 6053-2 6.4.3 預算編列 預算編列宜考量預劃在預算期內 對服務所做的變更以及預算需求超過可用資金之處,為差額的管理作規劃。 預算編列要考慮到的因素,諸如 季節性變異及對於服務成本及費用預定之短期變更。 相對於預算的成本追蹤,宜提
40、供相對於預算之差異的早期預警。 宜具有管理相對於預算差異之意含的過程。 預算編列及成本追蹤宜支援服務 運作與變更之規劃,以便服務等級在一整年內可以獲得維持。 6.4.4 結算 結算過程宜用以在協議的時期內,追蹤成本達到協議的詳細程度。 對於服務提供的決策,宜基於成本效益的比較。 成本模型宜能夠展現服務提供的成本。 帳戶宜呈現花費 /回收的過度與 不足;且宜讓讀者了解到低服務等級或服務損失的成本。 6.5 容量管理 目標:確保服務提供者隨時擁有充 分容量,總是有迎合客戶營運要要之現行與未來協議要求的充分容量。 宜了解服務之目前與預期之營運需求,根據業務之所需具備使其能提供給客戶。 營運預測及工作
41、負荷估計結果,宜 被解釋為特定的需求及文件化。工作負荷或環境中之變異的結果,宜是可預測 的;目前與先前組件的資料與適當等級上的資源利用,宜予以記錄及分析,以支援容量管理過程。 容量管理宜成為所有績效及容量議題的焦點。 容量管理過程宜對新增及變更之服 務發展,以提供服務的尺度調整及塑模的方式提供直接之支援。 記錄基礎建設實際績效及預期要求 的容量計畫,宜在適當的週期,考量服務的變更率及服務量、變更管理報告中的資訊以及客戶營運後予以產生。 宜至少每年產生一份。容量計畫宜記錄滿足營運需求及為確保 SLA 中所定義之協議的服務等級標的之達成,所建議之解決方案之計價選項。 技術性基礎建設及其目前與預推能
42、力,宜被全面地理解。 6.6 資訊安全管理 目標:在所有服務活動內,有效管理資訊安全。 6.6.1 概要 資訊安全是設計以識別、控制及 保護資訊,及和資訊儲存、傳輸及處理相關、所使用到的所有設備的政策與程序之制度的結果。 服務提供者具有專業資訊安全角色的成員,宜嫻熟 CNS 17799。 6.6.2 資訊資產的識別與分類 服務提供者宜 16 CNS 20000-2, X 6053-2 (1) 維護交付服務所需之資訊資產 (例如,電腦 、通訊、環境裝備、文件及其他資訊 )之目錄。 (2) 根據資產對於服務的關鍵性,以及保護該資產所需要之保護等級,對每項資訊資產分類,並任命負責提供保護的擁有者。
43、(3) 雖然他們可能會把日常的資訊管理職責委派出去,但是資產保護的職掌,宜屬於資產擁有者的權限。 6.6.3 安全性風險的評鑑實務 安全性風險評鑑宜 (1) 在協議之時間間隔內履行。 (2) 予以記錄。 (3) 在 (營運需要、過程及組態的 )變更時予以維護。 (4) 協助理解哪些事項會對管理下的服務造成衝擊。 (5) 就將運作的控制型式,通知相關之決定。 6.6.4 資訊資產的風險 對資訊資產的風險宜參照下列事項予以評鑑。 (1) 風險的性質 (例如,軟體功能異常、運作錯誤、通訊失效 )。 (2) 可能性。 (3) 潛在的營運衝擊。 (4) 過去的經驗。 6.6.5 資訊的安全性與可用性 在
44、評鑑風險時,應適當關注於下列各項 (1) 向未經授權的各方洩漏敏感資訊。 (2) 不正確、不完整或無效 (例如,不實的 )資訊。 (3) 欲使用時,無法取用資訊 (例如,由於電力失效 )。 (4) 提供服務所需之裝備之實體損害、或毀壞。 其他應包含資訊安全 性政策目標、符合客戶特定安全性要求 (例如,可用性等級 )與應用到的法規或監理要求等項目。 6.6.6 控制措施 除了可能要調整的其他控制措施,以及本標準建議 (例如,服務持續性方面 )外,服務提供者宜運作下列的控 制措施,以作為良好資訊安全性管理實務之具體事項 (1) 最高管理階層宜定義其資訊安全性政策,並將之與成員及客戶溝通,並付諸行動
45、,以確保其有效實作。 (2) 應定義資訊安全性管理角色與職責,並分配到每個職位持有者。 (3) 管理代表小組 (該角色可由管 理階層承擔 )宜監視及維持資訊安全性政策的有效性。 (4) 負有重要安全性角色的成員,宜接受資訊安全性訓練。 (5) 所有成員應認知資訊安全政策。 17 CNS 20000-2, X 6053-2 (6) 可獲得風險評鑑及控制措施實作之專業宜可用。 (7) 變更項目宜不破壞控制措施之有效運作。 (8) 資訊安全性事故宜根據事故管理程序提出即時報告,並啟動反應機制。 6.6.7 文件與紀錄 紀錄宜予定期分析,以提供管理階層與下列事項相關的資訊 (1) 資訊安全性政策的有效
46、性。 (2) 資訊安全性事故所呈現之趨勢。 (3) 對服務改善計畫之輸入。 (4) 對資訊、資產及系統之存取控制。 資訊安全性管理系統宜予可靠地文件化。 7. 關係過程 7.1 概要 關係過程在描述供應者管理及營運 關係管理的兩個相關層面。本標準說明服務提供者的角色,邏輯上其在供應者 之間充當一個角色;供應者係對服務提供者交付物品或服務,而客戶則接收服務。 供應者與客戶兩者,均可以是在服 務提供者組織的內部或外部。外部關係將透過契約正式化。內部關係藉由服務 或內部委託協議正式化,內部委託協議通常視為運作等級協議。 圖 2 顯示了這些簡化的關係表示。 圖 2 關係過程 如圖 2 所示,服務提供者
47、在供應鏈中填入一個角色,而鏈中的每一個步驟宜是有附加利益的,以服務提供者自供 應者接收服務或物品,並且對客戶交付加值後的服務。 為了說明清楚,在本節中,服務提 者一詞,一直被用來描述本標準所討論的組織其在描述的過程,無關其角色、或在關係圖中之方向。 雖然,在實務上,關係很少是這麼單純的,而會由多個參與者 (player)構成,扮演供應者及客戶的角色,同時,在這些角色之間,多數直接或透過服務 提供者,具有營運上的關聯。 營運營運 18 CNS 20000-2, X 6053-2 關係過程宜確保所有的各方 (1) 了解並符合營運的需要。 (2) 了解能力與限制條件。 (3) 了解職責與義務。 其亦
48、宜確保客戶滿意度等級係適當的,且未來的營運需要已被溝通及了解。 營運關係的範圍、角色及職責與供 應者關係,宜予定義並獲得同意。此項工作宜包括利害關係者、聯絡窗口、與溝通管道與溝通頻率的識別。 7.2 營運關係管理 目標:為了在服務提供者及客戶間 ,基於對客戶及其營運因素的理解,建立及維護良好的關係。 7.2.1 服務審查 服務提供者與客戶宜舉行服務審查,至少每年一次,以及重 大變更之前後。審查宜考慮過去的績效、討論目 前及預設的營運需要,以及對服務範圍及SLA 所提議的任何變更。其他利害關係 者,例如,下包商、客戶、使用者群或其他代表性組織可受邀參加審查會議。 服務提供者及客戶亦宜同意期中 審
49、查程序,以討論進度、成就與議題。這些會議宜予以排程,並對相關利害關係者發出通知。 服務提供者宜規劃及記錄所有正式會議、議題紀錄,並追蹤獲得共識的行動。 服務提供者宜與其客戶建立關係 ,如此,他們就可以預期認知到營運的需要及重大的變更,並能夠對需要的回應做準備。 7.2.2 服務訴怨 服務提供者及客戶宜對正式的訴 怨程式取得共識,使得訴怨的構成要件,及其處理的方式,沒有模糊地帶 。服務提供者宜運作某個過程,以採取適當的行動,處理各項議題。 該過程宜識別正式訴怨的服務提供者聯絡窗口。 服務提供者宜記錄、調查、處理、報告並正式地結束所有服務訴怨。 未解決之訴怨宜予以定期審查, 若無法在與客戶協議的截止時間內解決,予以向上反映至更高之管理階層。 服務提供者宜定期地分析訴怨紀錄,以識別趨勢, 並向客戶報告分析的結果。 該分析的結果,宜適時用以提供資訊給服務改善計畫。 7.2.3 客戶滿意度量測 客戶滿意度宜予以量測,以使得 服務提供者可將績效和客戶滿意度標的及先前的調查做比較。普查的範圍 及複雜度,宜予以設計以使客戶可以很容易地回應,而不需要超過正確完成普查所需時間。 滿意度等級上的重大的變異,宜 予以調查並了解其原因。趨勢或其他的比較,宜僅施於可以做比較的滿意
